摘? ? 要：個(gè)人信息匿名化處理法律制度作為聯(lián)通個(gè)人信息保護(hù)與個(gè)人信息流通利用的制度橋梁，能夠以一種隱私友好的方式滿足社會(huì)的信息需求。我國(guó)現(xiàn)行“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)缺乏可操作性，難以有效規(guī)范匿名化處理實(shí)踐。我國(guó)可以確立操作方法標(biāo)準(zhǔn)與識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)協(xié)同的匿名化處理法律標(biāo)準(zhǔn)：關(guān)于操作方法標(biāo)準(zhǔn)，可以在技術(shù)領(lǐng)域確定適用于直接標(biāo)識(shí)符和間接標(biāo)識(shí)符的匿名化處理措施指南;關(guān)于識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)，可以引入“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)，明確規(guī)定侵入者的識(shí)別動(dòng)機(jī)和識(shí)別能力。通過(guò)操作方法維度與識(shí)別風(fēng)險(xiǎn)檢驗(yàn)維度的協(xié)同作用，最終實(shí)現(xiàn)“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的匿名化處理法律效果。

關(guān)鍵詞：個(gè)人信息;匿名化處理;法律標(biāo)準(zhǔn);直接標(biāo)識(shí)符;間接標(biāo)識(shí)符;識(shí)別風(fēng)險(xiǎn)檢驗(yàn)

中圖分類號(hào)：D 912? ? 文獻(xiàn)標(biāo)識(shí)碼：A? ? ? 文章編號(hào)： 2096-9783（2021）03-0026-10

引? ?言

人類社會(huì)形成以來(lái)，經(jīng)歷過(guò)多次世界性的技術(shù)革命[1]。從農(nóng)業(yè)革命、工業(yè)革命到智能革命，人類的生產(chǎn)、生活和思維方式也不斷發(fā)生著變化。在智能時(shí)代，互聯(lián)網(wǎng)成為社會(huì)發(fā)展的基本工具，數(shù)據(jù)成為國(guó)家基礎(chǔ)性戰(zhàn)略資源。數(shù)據(jù)共享能激勵(lì)創(chuàng)新，創(chuàng)造巨額財(cái)富，已成為推動(dòng)當(dāng)今社會(huì)發(fā)展的重要引擎[2]。與此同時(shí)，數(shù)據(jù)流通利用也可能損害數(shù)據(jù)主體的隱私和其他利益。

大數(shù)據(jù)時(shí)代，個(gè)人信息1保護(hù)問(wèn)題被推到了風(fēng)口浪尖。如何平衡個(gè)人信息保護(hù)與個(gè)人信息利用之間的關(guān)系成為橫亙?cè)谖覀兠媲暗臅r(shí)代難題。為因應(yīng)這一難題，個(gè)人信息匿名化處理技術(shù)應(yīng)運(yùn)而生，該技術(shù)旨在通過(guò)去除或者改變個(gè)人信息中的識(shí)別因子，滿足社會(huì)的信息需求，并避免損害信息主體的合法權(quán)益。技術(shù)的發(fā)展與應(yīng)用離不開(kāi)法律制度的保駕護(hù)航，匿名化處理技術(shù)亦不例外，匿名化處理法律制度應(yīng)至少包括匿名化處理法律標(biāo)準(zhǔn)、匿名信息流通利用規(guī)則、再識(shí)別風(fēng)險(xiǎn)防范規(guī)則等內(nèi)容。而匿名化處理法律標(biāo)準(zhǔn)是匿名化處理法律制度的核心內(nèi)容，直接關(guān)涉到匿名化處理制度的有效性和可行性，本文圍繞該問(wèn)題展開(kāi)探究。

一、制度功用透視：平衡個(gè)人信息保護(hù)與個(gè)人信息流通利用

匿名化處理技術(shù)是信息時(shí)代的產(chǎn)物，旨在解決個(gè)人信息流通利用與個(gè)人信息保護(hù)之間的沖突，以一種“隱私友好（privacy-friendly）”的方式滿足社會(huì)的信息需求[3]。重申匿名化處理的制度功用，對(duì)確立合理可行的匿名化處理法律標(biāo)準(zhǔn)至為關(guān)鍵。

（一）保護(hù)信息主體人格尊嚴(yán)和人身自由不受侵害

“與已識(shí)別或可識(shí)別的自然人有關(guān)的任何信息”，這一關(guān)于個(gè)人信息的國(guó)際主流定義，體現(xiàn)了個(gè)人信息的識(shí)別性和關(guān)聯(lián)性特征。我國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 35723—2020《信息安全技術(shù)? 個(gè)人信息安全規(guī)范》（以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》）也將個(gè)人信息界定為“以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息”。個(gè)人信息的識(shí)別性和關(guān)聯(lián)性特征是個(gè)人信息的首要特性[4]，決定了其直接關(guān)涉信息主體的人格尊嚴(yán)[5]和人身自由。

基于人格尊嚴(yán)和人身自由乃人之基本權(quán)利的定性，為避免科技進(jìn)步“對(duì)獨(dú)立人格的維護(hù)和自由人格的發(fā)展造成難以彌補(bǔ)的損害”[6]，我們必須貫徹“以人為本”的發(fā)展理念。個(gè)人信息所承載的信息主體人格利益應(yīng)當(dāng)是個(gè)人信息保護(hù)立法中的優(yōu)先考量因素，信息主體權(quán)利及信息處理者義務(wù)的正當(dāng)性基礎(chǔ)也源于個(gè)人信息的人格屬性。保護(hù)信息主體的人格尊嚴(yán)和人身自由是個(gè)人信息保護(hù)的基本目的[7]。

個(gè)人信息匿名化處理技術(shù)的相關(guān)措施包括刪除標(biāo)識(shí)符、替換標(biāo)識(shí)符、泛化標(biāo)識(shí)符、子抽樣處理等，這些技術(shù)措施能夠降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，進(jìn)而避免在流通利用匿名信息的過(guò)程中損害信息主體的合法權(quán)益。個(gè)人信息匿名化處理法律制度旨在保障匿名化處理技術(shù)的規(guī)范化、制度化運(yùn)行，其首要目的與功用即規(guī)范對(duì)個(gè)人信息的技術(shù)處理以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害。

（二）提供大數(shù)據(jù)發(fā)展和應(yīng)用的原材料，推動(dòng)數(shù)據(jù)資源開(kāi)發(fā)利用

大數(shù)據(jù)對(duì)國(guó)家發(fā)展的重要意義已為諸多國(guó)家和政府所肯認(rèn)，并被視為“未來(lái)的新石油”，發(fā)展大數(shù)據(jù)被上升到借助信息技術(shù)提升國(guó)家競(jìng)爭(zhēng)力的宏觀戰(zhàn)略高度[8]。全球范圍內(nèi)，運(yùn)用大數(shù)據(jù)推動(dòng)經(jīng)濟(jì)發(fā)展、完善社會(huì)治理、提升政府服務(wù)和監(jiān)管能力正深入推進(jìn)，各國(guó)相繼制定實(shí)施大數(shù)據(jù)戰(zhàn)略性文件，大力推動(dòng)大數(shù)據(jù)發(fā)展和應(yīng)用。

大數(shù)據(jù)的發(fā)展和應(yīng)用離不開(kāi)海量數(shù)據(jù)的喂養(yǎng)，海量數(shù)據(jù)的重要來(lái)源之一即個(gè)人數(shù)據(jù)。個(gè)人信息具有人格自由和人格尊嚴(yán)價(jià)值、商業(yè)價(jià)值和公共管理等多重價(jià)值[9]，需要通過(guò)合理的制度安排實(shí)現(xiàn)個(gè)人對(duì)個(gè)人信息保護(hù)的利益、信息業(yè)者對(duì)個(gè)人信息利用的利益和國(guó)家管理社會(huì)的公共利益之間的平衡[10]。就信息業(yè)者對(duì)個(gè)人信息的利用而言，其正當(dāng)性基礎(chǔ)已為各國(guó)立法和社會(huì)公眾所普遍認(rèn)可，促進(jìn)個(gè)人信息流通利用也已成為個(gè)人信息保護(hù)的重要立法宗旨之一。

個(gè)人信息匿名化處理制度補(bǔ)強(qiáng)了個(gè)人信息流通利用的正當(dāng)性基礎(chǔ)，能夠提供數(shù)據(jù)開(kāi)發(fā)利用所需的原材料，“是促進(jìn)數(shù)據(jù)流通和共享的重要途徑”[11]。通過(guò)對(duì)個(gè)人信息的匿名化處理，降低個(gè)人信息與信息主體之間的關(guān)聯(lián)度，增強(qiáng)個(gè)人信息流通利用的適格性，以發(fā)揮個(gè)人信息蘊(yùn)含的社會(huì)、經(jīng)濟(jì)價(jià)值，滿足大數(shù)據(jù)時(shí)代對(duì)“新石油”原料的需求。個(gè)人信息匿名化處理法律制度的另一重要功用即提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動(dòng)數(shù)據(jù)資源開(kāi)發(fā)利用。

簡(jiǎn)言之，個(gè)人信息匿名化處理法律制度旨在規(guī)范對(duì)個(gè)人信息的技術(shù)處理，以保護(hù)信息主體的人格尊嚴(yán)和人身自由不受侵害，同時(shí)提供大數(shù)據(jù)發(fā)展和應(yīng)用所需的原材料，推動(dòng)數(shù)據(jù)資源開(kāi)發(fā)利用，致力于實(shí)現(xiàn)“自然人的個(gè)人信息權(quán)益的保護(hù)與信息的自由流動(dòng)這一對(duì)法律價(jià)值的權(quán)衡與協(xié)調(diào)”[12]。

二、現(xiàn)狀檢視：我國(guó)現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)評(píng)析

我國(guó)匿名化處理法律制度濫觴于行業(yè)標(biāo)準(zhǔn)2，成形于《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱《網(wǎng)絡(luò)安全法》）、《中華人民共和國(guó)民法典》（以下簡(jiǎn)稱《民法典》）。前述規(guī)范或效力層級(jí)較低，或規(guī)范目的特定，致使匿名化處理法律制度雖已在我國(guó)正式確立，但規(guī)范內(nèi)容極為簡(jiǎn)單，而體現(xiàn)于匿名化處理內(nèi)涵之中的匿名化處理法律標(biāo)準(zhǔn)亦不清晰。

（一）匿名化處理法律標(biāo)準(zhǔn)：無(wú)法識(shí)別特定個(gè)人且不能復(fù)原

關(guān)于個(gè)人信息匿名化處理的內(nèi)涵，按《中國(guó)互聯(lián)網(wǎng)定向廣告用戶信息保護(hù)去身份化指引》（以下簡(jiǎn)稱《定向廣告去身份化指引》）的規(guī)定，去身份化是對(duì)某項(xiàng)信息（集）進(jìn)行變更以去除或模糊個(gè)人身份關(guān)聯(lián)信息的過(guò)程;《網(wǎng)絡(luò)安全法》規(guī)定“經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”3;《民法典》4基本沿用了《網(wǎng)絡(luò)安全法》的規(guī)定;《數(shù)據(jù)安全管理辦法（征求意見(jiàn)稿）》規(guī)定“經(jīng)過(guò)處理無(wú)法關(guān)聯(lián)到特定個(gè)人且不能復(fù)原”5;《個(gè)人信息安全規(guī)范》強(qiáng)調(diào)無(wú)法識(shí)別或關(guān)聯(lián)到信息主體且不能復(fù)原6;《中華人民共和國(guó)個(gè)人信息保護(hù)法（草案）》（以下簡(jiǎn)稱《個(gè)人信息保護(hù)法（草案）》）7亦采用了與《網(wǎng)絡(luò)安全法》近似的規(guī)定。

前述關(guān)于匿名化處理基本內(nèi)涵的各規(guī)定并無(wú)本質(zhì)區(qū)別?！睹穹ǖ洹放c《網(wǎng)絡(luò)安全法》相比，在保持匿名化處理內(nèi)涵不變的基礎(chǔ)上，將處理主體從網(wǎng)絡(luò)運(yùn)營(yíng)者調(diào)整為一切信息處理者。《個(gè)人信息安全規(guī)范》基于將關(guān)聯(lián)信息納入個(gè)人信息范疇的考量而將匿名化處理的法律標(biāo)準(zhǔn)調(diào)整為“無(wú)法識(shí)別或關(guān)聯(lián)到信息主體且不能復(fù)原”，但該規(guī)范僅為推薦性國(guó)家標(biāo)準(zhǔn)，不具有強(qiáng)制適用的效力。綜上，我國(guó)現(xiàn)行匿名化處理法律標(biāo)準(zhǔn)為“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”。

此外，關(guān)于匿名化處理的法律標(biāo)準(zhǔn)，依據(jù)《定向廣告去身份化指引》的規(guī)定，在向非關(guān)聯(lián)方轉(zhuǎn)移信息時(shí)，單位應(yīng)采取“運(yùn)用‘有動(dòng)機(jī)入侵者測(cè)試”8“全面查明是否能夠重新識(shí)別”9“必要時(shí)委托專家評(píng)估”10的方式確認(rèn)是否成功去身份化。此處規(guī)定的三個(gè)標(biāo)準(zhǔn)只是對(duì)域外不同國(guó)家和地區(qū)匿名化處理法律標(biāo)準(zhǔn)的簡(jiǎn)單借鑒，缺乏具體的適用規(guī)則，同時(shí)由于該指引效力層級(jí)及適用范圍的局限性，此規(guī)定的實(shí)質(zhì)意義遠(yuǎn)遠(yuǎn)小于其形式意義。

（二）匿名化處理法律標(biāo)準(zhǔn)的涵義

“無(wú)法識(shí)別特定個(gè)人”與個(gè)人信息的識(shí)別性特征相對(duì)應(yīng)。匿名化處理力求在“技術(shù)的信仰與人身的信仰之間”尋找一個(gè)平衡點(diǎn)[13]，以避免個(gè)人信息處理行為侵害信息主體的合法權(quán)益，因而匿名化處理的關(guān)鍵即弱化個(gè)人信息與信息主體的關(guān)聯(lián)度。個(gè)人信息識(shí)別信息主體的方式包括直接識(shí)別和間接識(shí)別，根據(jù)體系解釋的法律解釋方法，匿名化處理法律標(biāo)準(zhǔn)中的“識(shí)別”同樣包括直接識(shí)別和間接識(shí)別，是故，匿名化處理需要達(dá)到通過(guò)處理后的信息既不能直接識(shí)別，也不能與其他信息相結(jié)合而識(shí)別信息主體的效果。這就要求信息處理者在匿名化處理過(guò)程中既要去除直接標(biāo)識(shí)符，也不能忽視了對(duì)間接標(biāo)識(shí)符的處理。

“不能復(fù)原”即要求匿名信息不存在復(fù)原為個(gè)人信息的可能性。個(gè)人信息的認(rèn)定離不開(kāi)具體的場(chǎng)景，個(gè)人信息的場(chǎng)景性特征決定了其與匿名信息并非涇渭分明，而是可以互相轉(zhuǎn)化的動(dòng)態(tài)關(guān)系。特定場(chǎng)景下的匿名信息，在場(chǎng)景發(fā)生變化時(shí)，或許能夠識(shí)別特定個(gè)人而成為個(gè)人信息。因此，有效的匿名化處理應(yīng)當(dāng)能夠通過(guò)技術(shù)手段使得處理后的信息無(wú)法識(shí)別特定個(gè)人，并且增加匿名信息轉(zhuǎn)化為個(gè)人信息的難度。然而，技術(shù)手段的可破解性內(nèi)在地決定了技術(shù)層面的絕對(duì)不能復(fù)原是難以實(shí)現(xiàn)的，故此處的“不能復(fù)原”應(yīng)當(dāng)理解為法律層面的不能復(fù)原，即信息處理者和接收者不得對(duì)經(jīng)匿名化處理后的個(gè)人信息進(jìn)行再識(shí)別，從而保證匿名信息處于“不能復(fù)原”的狀態(tài)。

（三）匿名化處理法律標(biāo)準(zhǔn)存在的問(wèn)題

匿名化處理法律標(biāo)準(zhǔn)的明晰，關(guān)鍵在于“識(shí)別”標(biāo)準(zhǔn)的確定。在個(gè)人信息識(shí)別性認(rèn)定問(wèn)題上，除識(shí)別方式外，特別需要明確識(shí)別認(rèn)定的主體基準(zhǔn)。關(guān)于該主體基準(zhǔn)，有“主觀說(shuō)”和“客觀說(shuō)”之別。“主觀說(shuō)”即“信息控制者說(shuō)”，主張以信息控制者為基準(zhǔn)判斷信息是否能識(shí)別特定個(gè)人;“客觀說(shuō)”包括“社會(huì)一般多數(shù)人說(shuō)”和“任一主體說(shuō)”，前者主張以社會(huì)一般多數(shù)人為主體基準(zhǔn)進(jìn)行判斷，后者主張將一切個(gè)人和組織作為識(shí)別認(rèn)定的主體基準(zhǔn)，即只要該信息能被某機(jī)構(gòu)所識(shí)別，無(wú)論該機(jī)構(gòu)是否已實(shí)際識(shí)別，都視為可識(shí)別[14]。如前所述，我國(guó)現(xiàn)行法律確立了“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)，但是并未明確識(shí)別認(rèn)定的主體基準(zhǔn)。另外，“不能復(fù)原”的要求該如何理解、如何落實(shí)，是絕對(duì)的不能復(fù)原還是相對(duì)的不能復(fù)原，也存有很大疑問(wèn)。

至于《定向廣告去身份化指引》中所規(guī)定的“運(yùn)用‘有動(dòng)機(jī)入侵者測(cè)試”“全面查明是否能夠重新識(shí)別”“必要時(shí)委托專家評(píng)估”的檢驗(yàn)標(biāo)準(zhǔn)，其實(shí)是對(duì)英國(guó)“蓄意侵入者檢驗(yàn)標(biāo)準(zhǔn)”、歐盟“所有合理可能性標(biāo)準(zhǔn)”和美國(guó)“專家判定法”標(biāo)準(zhǔn)的借鑒，文章第三部分將詳細(xì)闡釋這些標(biāo)準(zhǔn)?！抖ㄏ驈V告去身份化指引》將前述不同標(biāo)準(zhǔn)簡(jiǎn)單并列，實(shí)質(zhì)上是確立了識(shí)別認(rèn)定的不同主體基準(zhǔn)，這些規(guī)定本身即存在矛盾和混亂之處，具體該如何適用也不得而知。

我們必須認(rèn)識(shí)到，個(gè)人信息的利用價(jià)值與其識(shí)別性特征密切相關(guān)，個(gè)人信息經(jīng)匿名化處理后若變得過(guò)于“干凈”，則其利用價(jià)值很有可能也隨之喪失，正如有學(xué)者所指出的“匿名信息的有效性與實(shí)用性，二者永遠(yuǎn)水火難容”[15]。個(gè)人信息匿名化處理究竟應(yīng)達(dá)到什么樣的法律標(biāo)準(zhǔn)以兼顧匿名信息的有效性與實(shí)用性，進(jìn)而實(shí)現(xiàn)個(gè)人信息保護(hù)與個(gè)人信息利用的妥當(dāng)平衡，我國(guó)現(xiàn)行法律尚未提供行之有效的解決方案。

三、域外鏡鑒：匿名化處理法律標(biāo)準(zhǔn)的域外經(jīng)驗(yàn)及啟示

（一）歐盟：“所有合理可能性”標(biāo)準(zhǔn)

歐盟個(gè)人數(shù)據(jù)匿名化處理相關(guān)規(guī)范主要體現(xiàn)在GDPR、歐洲委員會(huì)“108公約+”11及WP29《匿名化技術(shù)》意見(jiàn)書(shū)12中，GDPR前言第26段規(guī)定了識(shí)別的認(rèn)定標(biāo)準(zhǔn)及匿名信息的概念。據(jù)此可知?dú)W盟匿名化處理法律標(biāo)準(zhǔn)為“所有合理可能性”標(biāo)準(zhǔn)。

1.識(shí)別的內(nèi)涵：挑出、關(guān)聯(lián)和推斷

WP29在《匿名化技術(shù)》意見(jiàn)書(shū)中指出，識(shí)別并非單純指揭示某人的姓名和/或地址，還包括從數(shù)據(jù)中挑出當(dāng)事人、產(chǎn)生關(guān)聯(lián)或進(jìn)行推斷[16]。在進(jìn)行匿名化處理時(shí)，需要著重考慮挑出（singling out）風(fēng)險(xiǎn)、關(guān)聯(lián)性（linkability）風(fēng)險(xiǎn)和推斷（reference）風(fēng)險(xiǎn)。若能夠在數(shù)據(jù)集中分離出部分或全部能識(shí)別個(gè)人身份的記錄，則構(gòu)成挑出風(fēng)險(xiǎn)。若通過(guò)同一或不同數(shù)據(jù)集中的記錄，能夠在至少兩項(xiàng)屬于同一（組）數(shù)據(jù)主體的記錄之間產(chǎn)生關(guān)聯(lián)，則構(gòu)成關(guān)聯(lián)性風(fēng)險(xiǎn)。如果通過(guò)關(guān)聯(lián)分析等能證明兩項(xiàng)記錄屬于同一組數(shù)據(jù)主體，但不能挑出某一數(shù)據(jù)主體，則該技術(shù)只能有效避免挑出風(fēng)險(xiǎn)，但不能防范關(guān)聯(lián)性風(fēng)險(xiǎn)。若根據(jù)一系列其他屬性值推斷出某一屬性值的概率較高，則構(gòu)成推斷風(fēng)險(xiǎn)。匿名化處理方案應(yīng)當(dāng)能夠防范這三種風(fēng)險(xiǎn)，以有效防止數(shù)據(jù)控制者和任何第三方通過(guò)最可能（most likely）和合理（reasonable）的手段重新識(shí)別數(shù)據(jù)主體。

2.識(shí)別認(rèn)定的主體基準(zhǔn)：數(shù)據(jù)控制者和其他人

如前所述，識(shí)別認(rèn)定的主體基準(zhǔn)有主觀說(shuō)和客觀說(shuō)之別。歐盟采用了客觀說(shuō)中的“任一主體說(shuō)”，主張以一切個(gè)人和組織作為識(shí)別認(rèn)定的主體基準(zhǔn)，這與歐盟追求“具有廣泛延伸性”[17]的個(gè)人數(shù)據(jù)定義之理念相吻合，能夠更為充分地保護(hù)數(shù)據(jù)主體。在此基礎(chǔ)上，歐盟將匿名數(shù)據(jù)作為非個(gè)人數(shù)據(jù)，為其營(yíng)造了較為寬松的流通利用環(huán)境?！稓W盟非個(gè)人數(shù)據(jù)自由流通框架條例》規(guī)定除非為了國(guó)家安全，非個(gè)人數(shù)據(jù)的流通應(yīng)不受本地化限制[18];《歐盟非個(gè)人數(shù)據(jù)自由流通框架條例指南》進(jìn)一步指出“匿名化處理后的個(gè)人數(shù)據(jù)”[19]屬于非個(gè)人數(shù)據(jù)，并強(qiáng)調(diào)在個(gè)人數(shù)據(jù)被適當(dāng)匿名化后，公民個(gè)人數(shù)據(jù)受保護(hù)的權(quán)利仍應(yīng)受到尊重。

3.識(shí)別認(rèn)定的方式標(biāo)準(zhǔn)：所有合理手段

在識(shí)別的判斷上，利用數(shù)據(jù)識(shí)別特定主體的合理可能性是認(rèn)定識(shí)別的關(guān)鍵。誠(chéng)如阿爾希波夫（Vladislav A.）所言，“有足夠的精力和時(shí)間，蛛絲馬跡都能識(shí)別到個(gè)人，這就是世界上私家偵探的工作方式，但并不應(yīng)當(dāng)是法律的工作方式”[20]。歐盟將識(shí)別方式標(biāo)準(zhǔn)明確界定為“所有合理手段”，“合理”即要求綜合考慮數(shù)據(jù)控制者和其他人進(jìn)行識(shí)別所需的費(fèi)用和時(shí)間，同時(shí)考慮到數(shù)據(jù)處理時(shí)可采用的技術(shù)及技術(shù)的研發(fā)?！叭绻麑?duì)數(shù)據(jù)主體的識(shí)別被法律禁止，或由于需要在時(shí)間、成本和人力等方面付出不成比例的努力而幾乎不可能，以至于被識(shí)別的風(fēng)險(xiǎn)在現(xiàn)實(shí)中是微不足道的”13，則應(yīng)認(rèn)為該數(shù)據(jù)不具有識(shí)別性。

識(shí)別的內(nèi)涵、識(shí)別認(rèn)定的主體標(biāo)準(zhǔn)和方式標(biāo)準(zhǔn)共同構(gòu)成了歐盟匿名化處理的法律標(biāo)準(zhǔn)，即匿名化處理需達(dá)到數(shù)據(jù)控制者和任何其他人通過(guò)所有合理可能的手段（綜合考慮進(jìn)行識(shí)別的費(fèi)用、時(shí)間、當(dāng)時(shí)的可用技術(shù)及技術(shù)的研發(fā)等）都無(wú)法從數(shù)據(jù)中挑出個(gè)人、關(guān)聯(lián)到個(gè)人或推斷出個(gè)人身份的標(biāo)準(zhǔn)。

（二）英國(guó)：“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)

英國(guó)信息專員辦公室（Information Commissioners Office）（以下簡(jiǎn)稱ICO）2012年發(fā)布了《匿名化：數(shù)據(jù)保護(hù)風(fēng)險(xiǎn)管理實(shí)踐準(zhǔn)則》14（以下簡(jiǎn)稱《準(zhǔn)則》），以指導(dǎo)英國(guó)企業(yè)的匿名化處理實(shí)踐?！稖?zhǔn)則》規(guī)范了個(gè)人數(shù)據(jù)匿名化及數(shù)據(jù)披露的相關(guān)問(wèn)題。在《準(zhǔn)則》中，“匿名數(shù)據(jù)”指本身不能識(shí)別個(gè)人并且不太可能通過(guò)與其他數(shù)據(jù)結(jié)合而識(shí)別個(gè)人的數(shù)據(jù);“重新識(shí)別”指通過(guò)數(shù)據(jù)匹配或類似技術(shù)將匿名數(shù)據(jù)轉(zhuǎn)換為個(gè)人數(shù)據(jù)的過(guò)程[3]。ICO特別強(qiáng)調(diào)，“識(shí)別”并不必然意味著“知曉姓名（named）”，在特定數(shù)據(jù)和已知個(gè)體間建立可靠的關(guān)聯(lián)（connection）也應(yīng)認(rèn)為構(gòu)成識(shí)別。

ICO認(rèn)為，多樣識(shí)別方式導(dǎo)致了識(shí)別（在另一層面上也即匿名）認(rèn)定的復(fù)雜性;同時(shí)，即使數(shù)據(jù)控制者自身確實(shí)無(wú)法通過(guò)處理后的數(shù)據(jù)識(shí)別任何個(gè)人，但其并不能確定是否有其他數(shù)據(jù)使得第三方能夠重新識(shí)別，這就增加了匿名化處理的難度。鑒于英國(guó)現(xiàn)有數(shù)據(jù)保護(hù)規(guī)范并未對(duì)解決“發(fā)布匿名化處理后的個(gè)人數(shù)據(jù)是否會(huì)導(dǎo)致重新識(shí)別”“是否有人有動(dòng)機(jī)進(jìn)行重新識(shí)別”兩個(gè)問(wèn)題提供實(shí)質(zhì)幫助，ICO提出了“蓄意侵入者檢驗(yàn)（a motivated intruder test）”標(biāo)準(zhǔn)。

1.侵入者的識(shí)別動(dòng)機(jī)

ICO將侵入者的識(shí)別動(dòng)機(jī)擬制為希望通過(guò)來(lái)源于個(gè)人數(shù)據(jù)的匿名數(shù)據(jù)識(shí)別數(shù)據(jù)主體，有進(jìn)行重新識(shí)別的主觀積極性，追求重新識(shí)別結(jié)果的發(fā)生，也即所謂的“蓄意（motivated）”。為防范匿名化處理可能存在的再識(shí)別風(fēng)險(xiǎn)，數(shù)據(jù)控制者需要充分衡量通過(guò)匿名化處理后的數(shù)據(jù)重新識(shí)別特定個(gè)人的可能性，這就必然要求所擬制的侵入者在主觀上具有充分的識(shí)別動(dòng)機(jī)。

2.侵入者的識(shí)別能力

侵入者的識(shí)別能力直接決定著匿名化處理的難易程度，也是確定匿名化處理法律標(biāo)準(zhǔn)的關(guān)鍵。ICO假設(shè)侵入者具有相當(dāng)?shù)淖R(shí)別能力，并分別從積極方面和消極方面予以明定。在識(shí)別能力的積極方面，侵入者可以訪問(wèn)互聯(lián)網(wǎng)、圖書(shū)館等所有公開(kāi)資源，并可能采取技術(shù)調(diào)查措施（如詢問(wèn)可能對(duì)數(shù)據(jù)主體身份有更多了解的人，或發(fā)布廣告尋找能提供信息的人等）[3];在識(shí)別能力的消極方面，侵入者不具有任何與匿名信息相關(guān)的先前知識(shí)，不具有專業(yè)知識(shí)（如掌握電腦黑客技能），不會(huì)使用專業(yè)設(shè)備，也不會(huì)訴諸犯罪手段（如通過(guò)入室盜竊獲取安全保存的數(shù)據(jù)）對(duì)匿名數(shù)據(jù)進(jìn)行重新識(shí)別。

3.“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)的合理性

ICO認(rèn)為，“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)設(shè)置了一個(gè)高于“相對(duì)不熟練”的普通公眾而又低于擁有較強(qiáng)專業(yè)知識(shí)、分析能力和先前知識(shí)的人所能達(dá)到的識(shí)別標(biāo)準(zhǔn)，因而是有效的[3]。在識(shí)別動(dòng)機(jī)方面，假設(shè)侵入者具有充分的識(shí)別動(dòng)機(jī)是保障匿名化處理有效性的直接要求;在識(shí)別能力方面，消極識(shí)別能力的擬制可避免匿名化處理法律標(biāo)準(zhǔn)過(guò)于嚴(yán)苛，但又不會(huì)造成對(duì)個(gè)人數(shù)據(jù)保護(hù)的疏忽，因?yàn)閷I(yè)知識(shí)者（如醫(yī)生、律師等）的執(zhí)業(yè)規(guī)范中往往規(guī)定了相應(yīng)的保密義務(wù)和倫理守則，而運(yùn)用犯罪手段進(jìn)行再識(shí)別者則將面臨刑事制裁。由此可見(jiàn)，“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)有助于實(shí)現(xiàn)個(gè)人數(shù)據(jù)保護(hù)與個(gè)人數(shù)據(jù)流通利用之間的適當(dāng)平衡。

在蓄意侵入者檢驗(yàn)標(biāo)準(zhǔn)的具體操作中，企業(yè)可能要進(jìn)行網(wǎng)絡(luò)搜索以檢測(cè)是否可通過(guò)出生日期和郵政編碼等數(shù)據(jù)的組合識(shí)別特定個(gè)人，或者使用社交網(wǎng)絡(luò)查看是否可以將匿名數(shù)據(jù)與用戶畫(huà)像相聯(lián)系等。此外，ICO還列舉了一些常見(jiàn)的信息來(lái)源：圖書(shū)館、地方議會(huì)辦公室、教會(huì)記錄、族譜學(xué)網(wǎng)站、社交媒體、互聯(lián)網(wǎng)、其他組織，尤其是公共當(dāng)局發(fā)布的匿名數(shù)據(jù)[3]。

（三）美國(guó)個(gè)人信息去識(shí)別化15法律標(biāo)準(zhǔn)

NIST16于2015年10月發(fā)布了《個(gè)人信息去識(shí)別化》（De-Identification of Personal Information）報(bào)告，總結(jié)了近二十年來(lái)個(gè)人信息去識(shí)別化的研究和實(shí)踐狀況，對(duì)深入理解美國(guó)去識(shí)別化處理規(guī)范內(nèi)容具有重大參考價(jià)值。美國(guó)在個(gè)人信息去識(shí)別化處理實(shí)踐中，對(duì)直接標(biāo)識(shí)符和準(zhǔn)標(biāo)識(shí)符采取了不同的處理方法，部分專門(mén)領(lǐng)域法律還規(guī)定了去識(shí)別化處理檢驗(yàn)標(biāo)準(zhǔn)。

1.“專家判定法”與“安全港方法”標(biāo)準(zhǔn)

《健康保險(xiǎn)可攜性和責(zé)任法案》（以下簡(jiǎn)稱HIPAA法案）17的隱私規(guī)則中描述了受保護(hù)的健康信息去識(shí)別化處理的兩種標(biāo)準(zhǔn)。

第一，“專家判定法”標(biāo)準(zhǔn)。專家判定法即專家通過(guò)檢查信息確定最大限度地降低再識(shí)別風(fēng)險(xiǎn)的適當(dāng)去識(shí)別方法。專家乃具有知識(shí)和經(jīng)驗(yàn)的人，掌握了公認(rèn)的關(guān)于去識(shí)別的統(tǒng)計(jì)學(xué)科的原則及方法。專家運(yùn)用這些原則和方法，判斷單獨(dú)使用處理后的信息或?qū)⑻幚砗蟮男畔⑴c其他合理可用的信息結(jié)合使用時(shí)，信息預(yù)期接收者識(shí)別信息主體的風(fēng)險(xiǎn)是否非常小，進(jìn)而認(rèn)定是否達(dá)到了有效的去識(shí)別化。該標(biāo)準(zhǔn)還要求專家記錄分析的方法和結(jié)果，以證明其作出的判定是合理的。

第二，“安全港方法”標(biāo)準(zhǔn)。安全港方法詳細(xì)列舉了姓名、地理分區(qū)18、日期19、電話號(hào)碼、傳真號(hào)碼、電子郵件地址、社會(huì)保險(xiǎn)號(hào)碼、醫(yī)療記錄號(hào)碼、賬號(hào)、生物識(shí)別碼、任何其他唯一識(shí)別碼、特征或代碼等18項(xiàng)特定種類的識(shí)別符。數(shù)據(jù)控制者只有刪除“個(gè)人或其親屬、雇主、家庭成員”的前述18項(xiàng)標(biāo)識(shí)符，且并不實(shí)際知悉“處理后的信息可以單獨(dú)使用或與其他信息結(jié)合使用，以識(shí)別作為信息主體的個(gè)人”時(shí)，方可被認(rèn)為完成了有效的去識(shí)別化處理。

2.去識(shí)別化處理操作方法：區(qū)分處理直接標(biāo)識(shí)符與準(zhǔn)標(biāo)識(shí)符

直接標(biāo)識(shí)符（Direct-identification），也即直接識(shí)別變量或直接識(shí)別數(shù)據(jù)，是“直接識(shí)別單個(gè)個(gè)人的數(shù)據(jù)”，包括姓名、社會(huì)保險(xiǎn)號(hào)碼和電子郵件地址等。國(guó)際標(biāo)準(zhǔn)化組織發(fā)布的ISO 25237：2017（E）《健康信息學(xué)-假名化》（Health informatics-Pseudonymization）將直接標(biāo)識(shí)符定義為“無(wú)需附加信息或通過(guò)與公共領(lǐng)域中的其他信息進(jìn)行交叉關(guān)聯(lián)即可用于識(shí)別個(gè)人的數(shù)據(jù)”[21]。NIST在《個(gè)人信息去識(shí)別化》報(bào)告中強(qiáng)調(diào)，建議將其他個(gè)性化信息（如醫(yī)療記錄號(hào)碼和電話號(hào)碼）作為直接標(biāo)識(shí)符，盡管這些標(biāo)識(shí)需要借助附加信息才能與個(gè)人身份聯(lián)系，但由于其被廣泛使用，因此易于與個(gè)人身份聯(lián)系[22]。

由于直接標(biāo)識(shí)符與信息主體高度關(guān)聯(lián)，在去識(shí)別化處理時(shí)須將其刪除或通過(guò)其他方式加以轉(zhuǎn)換。信息處理者可結(jié)合具體情形及預(yù)期使用目的，選擇如下處理方法：第一，刪除;第二，替換為明顯通用的類別名稱或數(shù)據(jù)，如“某人”“某市某區(qū)”等;第三，替換為符號(hào)，如“***”“……”等;第四，替換為隨機(jī)值，若同一標(biāo)識(shí)符多次出現(xiàn)，應(yīng)替換為不同值，從而既保留原始數(shù)據(jù)形式以進(jìn)行某些分析，又為數(shù)據(jù)與個(gè)人間的重新關(guān)聯(lián)設(shè)置障礙;第五，系統(tǒng)地替換為假名（即假名化處理），允許引用同一個(gè)人的記錄進(jìn)行匹配等[22]。NIST指出，假名化是以假名替代直接標(biāo)識(shí)符的一種特殊轉(zhuǎn)換。若處理者保留了直接標(biāo)識(shí)符與假名間的映射，或者使用易于發(fā)現(xiàn)參數(shù)的算法執(zhí)行替換，則假名化處理容易被逆轉(zhuǎn)進(jìn)而導(dǎo)致重新識(shí)別;即使沒(méi)有保留映射，跨多個(gè)數(shù)據(jù)集使用一致的假名，也可通過(guò)關(guān)聯(lián)分析實(shí)現(xiàn)再識(shí)別?；诖?，OHRP20指出，根據(jù)普遍規(guī)則，若假名化處理易于被逆轉(zhuǎn)，假名化數(shù)據(jù)應(yīng)被視為代碼化的（coded）而非匿名的[23]，但若存在禁止共享代碼密鑰的數(shù)據(jù)使用協(xié)議，則應(yīng)被視為匿名的。

準(zhǔn)標(biāo)識(shí)符（Quasi-identification），也即間接標(biāo)識(shí)符或間接標(biāo)識(shí)變量，是指本身不能識(shí)別特定個(gè)人，但可與其他信息聚合和連接以識(shí)別數(shù)據(jù)主體的標(biāo)識(shí)符[24]，如生日、性別、郵政編碼等。準(zhǔn)標(biāo)識(shí)符的存在對(duì)去識(shí)別化處理提出了重大挑戰(zhàn)。盡管可以從數(shù)據(jù)集中將其刪除，但由于準(zhǔn)標(biāo)識(shí)符通常能傳遞對(duì)后續(xù)分析相當(dāng)重要的信息，刪除可能有損數(shù)據(jù)集的實(shí)用性[22]。因此，信息處理者應(yīng)謹(jǐn)慎對(duì)待準(zhǔn)標(biāo)識(shí)符，以協(xié)調(diào)去識(shí)別化的有效性與實(shí)用性。

對(duì)于準(zhǔn)標(biāo)識(shí)符，信息控制者可結(jié)合去識(shí)別化處理后的預(yù)期用途，選擇如下處理方法：第一，抑制（Suppression）處理，即去除準(zhǔn)標(biāo)識(shí)符，可最大限度地保護(hù)隱私，但影響數(shù)據(jù)集的實(shí)用性。第二，泛化（Generalization）處理，將特定準(zhǔn)標(biāo)識(shí)符的值處理為在給定范圍內(nèi)或作為集合的元素，如將郵政編碼123456泛化為在123000到123999之間的郵政編碼，泛化處理可應(yīng)用于整個(gè)數(shù)據(jù)集或特定記錄。第三，干擾（Perturbation）處理，在給定的泛化級(jí)別內(nèi)將特定值以保持個(gè)體一致的方式替換為其他值，如將數(shù)據(jù)集中的年齡統(tǒng)一隨機(jī)上下調(diào)整2年，或者將入院、出院日期系統(tǒng)性地增減相同天數(shù)[25]。第四，交換（Swapping）處理，在給定的泛化級(jí)別內(nèi)交換不同準(zhǔn)標(biāo)識(shí)符的值，但如需保留統(tǒng)計(jì)特性，則必須謹(jǐn)慎交換。第五，子抽樣（Sub-sampling）處理，通過(guò)發(fā)布樣本代替數(shù)據(jù)集以降低再識(shí)別概率[26]。

（四）匿名化處理法律標(biāo)準(zhǔn)的歸納總結(jié)

關(guān)于匿名化處理法律標(biāo)準(zhǔn)，歐盟“所有合理可能性”標(biāo)準(zhǔn)、英國(guó)“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)及美國(guó)“專家判定法”標(biāo)準(zhǔn)均系基于識(shí)別風(fēng)險(xiǎn)考量而確立的風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)，而美國(guó)“安全港方法”標(biāo)準(zhǔn)和“區(qū)分處理直接識(shí)別符與準(zhǔn)標(biāo)識(shí)符”操作方法都屬基于處理手段確立的操作方法標(biāo)準(zhǔn)。

1.匿名化處理風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)

風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)旨在通過(guò)衡量重新識(shí)別風(fēng)險(xiǎn)的高低判定匿名化處理之有效性。其中，“所有合理可能性”標(biāo)準(zhǔn)最為嚴(yán)格，須數(shù)據(jù)控制者和其他人皆不能通過(guò)合理可能的手段實(shí)現(xiàn)重新識(shí)別，相當(dāng)于“將匿名標(biāo)準(zhǔn)提高到數(shù)據(jù)公開(kāi)之標(biāo)準(zhǔn)”[27]。在此基礎(chǔ)上，歐盟將匿名數(shù)據(jù)界定為非個(gè)人數(shù)據(jù)，并為其營(yíng)造了較為寬松的流通利用環(huán)境，實(shí)際上確立了“嚴(yán)進(jìn)寬出”的匿名化處理規(guī)范路徑。歐盟的規(guī)范模式能夠較為充分地保護(hù)數(shù)據(jù)主體的合法權(quán)益，但對(duì)數(shù)據(jù)控制者的要求較高，且依該標(biāo)準(zhǔn)處理后的數(shù)據(jù)的實(shí)用性將有所降低，不利于促進(jìn)數(shù)據(jù)流通利用?！靶钜馇秩胝邫z驗(yàn)”標(biāo)準(zhǔn)實(shí)為一種高于“普通公眾”而低于“專家”的檢驗(yàn)標(biāo)準(zhǔn)，通過(guò)對(duì)侵入者識(shí)別動(dòng)機(jī)和識(shí)別能力的精巧擬制以盡可能充分地保護(hù)數(shù)據(jù)主體，同時(shí)又最大限度地確保匿名數(shù)據(jù)的實(shí)用性，該標(biāo)準(zhǔn)較好地平衡了數(shù)據(jù)主體保護(hù)與數(shù)據(jù)流通利用?！皩＜遗卸ǚā睒?biāo)準(zhǔn)旨在通過(guò)專家衡量去識(shí)別化處理的有效性，但該標(biāo)準(zhǔn)較為籠統(tǒng)和模糊，缺乏可操作性，且須與配套規(guī)范結(jié)合才能發(fā)揮效用，如專家的認(rèn)證規(guī)范、選擇規(guī)范、操作規(guī)范、責(zé)任規(guī)范等，單獨(dú)的“專家判定法”標(biāo)準(zhǔn)難以有效運(yùn)行。

2.匿名化處理操作方法標(biāo)準(zhǔn)

美國(guó)“區(qū)分處理直接標(biāo)識(shí)符與準(zhǔn)標(biāo)識(shí)符”的操作方法標(biāo)準(zhǔn)，強(qiáng)調(diào)類型化標(biāo)識(shí)符并采用不同方法進(jìn)行處理。直接標(biāo)識(shí)符識(shí)別性較強(qiáng)，所關(guān)涉的信息主體利益與信息流通利用利益相比通常具有優(yōu)先重要性，因此，在去識(shí)別化處理過(guò)程中必須將其刪除或通過(guò)其他方式進(jìn)行轉(zhuǎn)換;而準(zhǔn)標(biāo)識(shí)符識(shí)別性相對(duì)較弱，同時(shí)可能對(duì)去識(shí)別化數(shù)據(jù)集更具實(shí)用性，故可通過(guò)刪除以外的其他方式進(jìn)行處理，從而在保護(hù)信息主體合法權(quán)益的同時(shí)盡可能地保留信息的實(shí)用性。整體而言，區(qū)分處理方法標(biāo)準(zhǔn)既能保護(hù)信息主體權(quán)益免受不當(dāng)侵害，保證去識(shí)別化處理的有效性，又盡可能地保留了去識(shí)別化信息的實(shí)用性，有利于達(dá)致個(gè)人信息保護(hù)與個(gè)人信息流通利用之妥當(dāng)平衡，為去識(shí)別化處理實(shí)踐提供了重要操作指南?！鞍踩鄯椒ā睒?biāo)準(zhǔn)列舉的必須刪除的18項(xiàng)標(biāo)識(shí)符在世界立法中堪稱最全[15]，但該標(biāo)準(zhǔn)存在的缺陷也十分淺顯。第一，試圖周延列舉標(biāo)識(shí)符是不現(xiàn)實(shí)的，不能排除在18項(xiàng)標(biāo)識(shí)符之外可能存在其他能夠識(shí)別特定主體的信息。第二，試圖周延列舉標(biāo)識(shí)符導(dǎo)致該標(biāo)準(zhǔn)缺乏靈活性，難以有效應(yīng)對(duì)技術(shù)發(fā)展帶來(lái)的挑戰(zhàn)，也有悖于去識(shí)別化處理方案應(yīng)根據(jù)個(gè)案情況設(shè)計(jì)的理念。美國(guó)聯(lián)邦通訊委員會(huì)亦認(rèn)為，安全港標(biāo)準(zhǔn)缺乏靈活性，現(xiàn)行列舉的標(biāo)識(shí)符隨著數(shù)據(jù)技術(shù)的發(fā)展將不可避免被淘汰。第三，該標(biāo)準(zhǔn)可能無(wú)法有效滿足數(shù)據(jù)利用的需要。其允許保留前三位郵政編碼及大多數(shù)日期的年份以平衡去識(shí)別信息的有效性和實(shí)用性，但這些舉措能否保留信息的實(shí)用性不無(wú)疑問(wèn)。由于研究者在多數(shù)醫(yī)療研究中都需要獲取病人的病史信息、用藥時(shí)間和日期等信息[28]，F(xiàn)red H. Cate質(zhì)疑去除18項(xiàng)標(biāo)識(shí)符后信息能否滿足醫(yī)療研究之目的。NIST在報(bào)告結(jié)論部分也指出安全港方法標(biāo)準(zhǔn)缺乏牢固的理論基礎(chǔ)。

實(shí)際上，基于處理手段的匿名化處理操作方法標(biāo)準(zhǔn)與基于識(shí)別風(fēng)險(xiǎn)的匿名化處理風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)乃從不同維度構(gòu)建的匿名化處理法律標(biāo)準(zhǔn)。具體而言，前者系從技術(shù)手段維度確立的操作方法標(biāo)準(zhǔn)，后者系從風(fēng)險(xiǎn)考量維度確立的有效性檢驗(yàn)標(biāo)準(zhǔn)，二者既非對(duì)立，也無(wú)沖突，且可以相互結(jié)合共同豐富匿名化處理法律標(biāo)準(zhǔn)。

四、雙維重構(gòu)：操作方法與識(shí)別風(fēng)險(xiǎn)檢驗(yàn)協(xié)同的匿名化處理法律標(biāo)準(zhǔn)

我國(guó)現(xiàn)行“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的匿名化處理法律標(biāo)準(zhǔn)主要是針對(duì)處理效果提出的要求，該標(biāo)準(zhǔn)較為籠統(tǒng)和模糊，缺乏可操作性，難以有效指引及規(guī)范匿名化處理實(shí)踐。我國(guó)在完善個(gè)人信息匿名化處理法律制度的過(guò)程中，可以在借鑒英國(guó)和美國(guó)匿名化處理相關(guān)法律標(biāo)準(zhǔn)的基礎(chǔ)上，另辟蹊徑，構(gòu)建匿名化處理操作方法標(biāo)準(zhǔn)與識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)協(xié)同的雙維匿名化處理法律標(biāo)準(zhǔn)，以最終實(shí)現(xiàn)無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的匿名化處理法律效果。

（一）操作方法：區(qū)分處理直接標(biāo)識(shí)符與間接標(biāo)識(shí)符

匿名化處理操作方法標(biāo)準(zhǔn)的確定，應(yīng)堅(jiān)持保護(hù)信息主體人格尊嚴(yán)人身自由與保留匿名信息實(shí)用性促進(jìn)個(gè)人信息流通利用相平衡的基本理念?！爱?dāng)抽象——一般概念及其邏輯體系不足以掌握某生活現(xiàn)象或意義脈絡(luò)的多樣表現(xiàn)形態(tài)時(shí)，大家首先會(huì)想到的補(bǔ)助思考形式是‘類型”。[29]不同標(biāo)識(shí)符識(shí)別能力強(qiáng)弱有別，蘊(yùn)含的經(jīng)濟(jì)價(jià)值也有區(qū)別，具有進(jìn)行類型化區(qū)分的可行性和必要性。同時(shí)，不同技術(shù)手段的側(cè)重點(diǎn)和處理效果各有不同，為區(qū)分處理直接標(biāo)識(shí)符和間接標(biāo)識(shí)符提供了技術(shù)支撐。如刪除處理能夠最有效地保護(hù)個(gè)人信息，但也使得個(gè)人信息蘊(yùn)含的效用徹底喪失;泛化或者干擾處理等，通過(guò)降低個(gè)人信息的精確度削弱處理后信息與信息主體的關(guān)聯(lián)，以保護(hù)信息主體的人格尊嚴(yán)和人身自由，同時(shí)也在一定程度上保留處理后信息的實(shí)用性。因此，可以將不同技術(shù)手段有針對(duì)性地適用于直接標(biāo)識(shí)符和間接標(biāo)識(shí)符的處理。

對(duì)于直接標(biāo)識(shí)符，由于其能夠直接識(shí)別特定個(gè)人，與信息主體的人格尊嚴(yán)和人身自由密切相關(guān)，基于人格尊嚴(yán)保護(hù)之目的價(jià)值應(yīng)優(yōu)先于個(gè)人信息利用之工具價(jià)值的基本理念[30]，必須將直接標(biāo)識(shí)符刪除或者進(jìn)行轉(zhuǎn)換，從而盡可能地避免在流通利用處理后信息的過(guò)程中不當(dāng)損害信息主體的合法權(quán)益。對(duì)于間接標(biāo)識(shí)符，由于其與信息主體人格尊嚴(yán)和人身自由的聯(lián)系相對(duì)疏遠(yuǎn)，同時(shí)其可能蘊(yùn)含著個(gè)人信息的經(jīng)濟(jì)效用，對(duì)其進(jìn)行挖掘分析能夠產(chǎn)生巨大價(jià)值，因此可以主要通過(guò)刪除以外的其他匿名化技術(shù)措施進(jìn)行處理，如泛化處理或干擾處理等，以兼顧信息主體人格尊嚴(yán)人身自由的保護(hù)與匿名化處理后信息實(shí)用性的保留。據(jù)此，根據(jù)不同匿名化技術(shù)手段處理效果的差異，可以在技術(shù)領(lǐng)域確定適用于直接標(biāo)識(shí)符和間接標(biāo)識(shí)符的匿名化處理措施指南，供信息控制者在匿名化處理實(shí)踐中參考。信息控制者在進(jìn)行匿名化處理時(shí)，應(yīng)結(jié)合具體場(chǎng)景及預(yù)期使用目的，在參考匿名化處理措施指南的基礎(chǔ)上分別挑選適用于個(gè)案中直接標(biāo)識(shí)符和間接標(biāo)識(shí)符處理的技術(shù)手段。

（二）識(shí)別風(fēng)險(xiǎn)檢驗(yàn)：“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)

識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)直接決定著匿名化處理的難易程度，檢驗(yàn)標(biāo)準(zhǔn)若設(shè)置得較為嚴(yán)苛，則可能過(guò)分加重個(gè)人信息處理者的負(fù)擔(dān)，不利于促進(jìn)個(gè)人信息流通利用以發(fā)揮其蘊(yùn)含的巨大價(jià)值;反之，檢驗(yàn)標(biāo)準(zhǔn)若設(shè)置得較為寬松，則可能損害信息主體的人格尊嚴(yán)和人身自由，有違個(gè)人信息保護(hù)的基本價(jià)值理念。

確立識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)的關(guān)鍵在于對(duì)識(shí)別認(rèn)定主體基準(zhǔn)和識(shí)別可能性的明晰。在識(shí)別認(rèn)定主體基準(zhǔn)方面，“任一主體說(shuō)”（即數(shù)據(jù)控制者和其他人）要求過(guò)高，實(shí)際上將匿名化處理標(biāo)準(zhǔn)近乎提高至了信息公開(kāi)的程度，不利于促進(jìn)個(gè)人信息流通利用，不符合匿名化處理制度初衷;“專家判定法”標(biāo)準(zhǔn)具有一定的合理性，但該標(biāo)準(zhǔn)的實(shí)施較為復(fù)雜，需與專家認(rèn)證規(guī)范、選定規(guī)范、操作規(guī)范及責(zé)任規(guī)范等配套制度相結(jié)合，且難以克服主觀標(biāo)準(zhǔn)內(nèi)在的不確定性;“蓄意侵入者”標(biāo)準(zhǔn)相對(duì)客觀中立，通過(guò)法律明確擬制具有識(shí)別動(dòng)機(jī)和特定識(shí)別能力的侵入者，能夠兼顧匿名化處理的有效性與匿名信息的實(shí)用性，且易于通過(guò)法律規(guī)范進(jìn)行調(diào)整，富有可操作性的同時(shí)，也不失靈活性和包容性。另一方面，法律擬制的“侵入者”雖然識(shí)別能力遜色于“專家”，但通過(guò)與其他法律規(guī)范（如職業(yè)倫理和信義義務(wù)規(guī)范等）共同作用，能夠充分保護(hù)信息主體。在識(shí)別可能性方面，應(yīng)強(qiáng)調(diào)識(shí)別的合理可能，如前所述，若識(shí)別為法律禁止或需付出明顯不成比例的時(shí)間、精力成本，則應(yīng)認(rèn)為不能識(shí)別，否則將過(guò)分加重處理者的負(fù)擔(dān)。法律關(guān)于侵入者識(shí)別能力的擬制也是要求合理識(shí)別可能的體現(xiàn)。因此，我國(guó)可以考慮采納“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)。

具體而言，信息控制者在參考匿名化處理措施指南完成匿名化處理后，應(yīng)當(dāng)評(píng)估處理后的信息能否通過(guò)“蓄意侵入者檢驗(yàn)”，進(jìn)而判定所進(jìn)行匿名化處理的有效性。“蓄意侵入者檢驗(yàn)”，即法律擬制了一個(gè)具有識(shí)別動(dòng)機(jī)和特定識(shí)別能力的侵入者，若該侵入者不能通過(guò)匿名化處理后的信息識(shí)別或者關(guān)聯(lián)至特定信息主體，則可認(rèn)為匿名化處理是有效的，反之則是無(wú)效的，信息控制者應(yīng)進(jìn)一步處理個(gè)人信息或者采取其他措施。在“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)中，侵入者在識(shí)別動(dòng)機(jī)方面，試圖通過(guò)匿名化處理后的信息識(shí)別信息主體，具有重新識(shí)別的主觀積極性;在識(shí)別能力方面，侵入者能夠獲取一切公開(kāi)的資源（如圖書(shū)館、互聯(lián)網(wǎng)等），能夠采取合理的調(diào)查措施以獲取進(jìn)行識(shí)別所需的信息，但其不具備專業(yè)技能，不具有關(guān)于信息主體的先前知識(shí)，也不會(huì)采用犯罪手段（如入室盜竊獲取安全保存的信息等）獲取信息以進(jìn)行識(shí)別。

結(jié)? ?語(yǔ)

作為“平衡商業(yè)利益和個(gè)人利益的利器”[31]，個(gè)人信息匿名化處理法律制度在大數(shù)據(jù)時(shí)代具有無(wú)可替代的重要作用。個(gè)人信息匿名化處理法律標(biāo)準(zhǔn)的優(yōu)化是發(fā)揮匿名化處理制度功用的關(guān)鍵。匿名化處理的操作方法標(biāo)準(zhǔn)與識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)是匿名化處理法律標(biāo)準(zhǔn)的兩個(gè)維度，兩者協(xié)同有助于增強(qiáng)匿名化處理法律標(biāo)準(zhǔn)的科學(xué)性和可行性。在操作方法標(biāo)準(zhǔn)方面，我國(guó)可以在技術(shù)領(lǐng)域分別確定適用于直接標(biāo)識(shí)符和間接標(biāo)識(shí)符的匿名化處理措施指南，供信息處理者在匿名化處理實(shí)踐中參考;在識(shí)別風(fēng)險(xiǎn)檢驗(yàn)標(biāo)準(zhǔn)方面，我國(guó)可以引入“蓄意侵入者檢驗(yàn)”標(biāo)準(zhǔn)，明確規(guī)定侵入者的識(shí)別動(dòng)機(jī)和識(shí)別能力，進(jìn)而確保通過(guò)匿名化處理最終實(shí)現(xiàn)“無(wú)法識(shí)別特定個(gè)人且不能復(fù)原”的法律效果。當(dāng)然，還必須指出，技術(shù)的可破解性、匿名化處理的場(chǎng)景性、匿名信息的實(shí)用性等因素決定了個(gè)人信息匿名化處理并非一勞永逸，匿名信息具有再識(shí)別風(fēng)險(xiǎn)[32]，匿名化處理的再識(shí)別風(fēng)險(xiǎn)防范問(wèn)題同樣需要我們深入思考。

參考文獻(xiàn)：

[1] 何星亮.智能革命與文明變遷——人類學(xué)的視角[J].中南民族大學(xué)學(xué)報(bào)（人文社會(huì)科學(xué)版）， 2019（4）：75-80.

[2] 劉穎，谷佳琪.個(gè)人信息去身份化及其制度構(gòu)建[J].學(xué)術(shù)研究，2020（12）：58-76.

[3] UK Information Commissioners Office. Anonymisation： Managing Data Protection Risk Code of Practice[EB/OL].（2012-11-20）[2021-03-05].https：//ico.org.uk/media/1061/anonymisation-code.pdf.

[4] 韓旭至.大數(shù)據(jù)時(shí)代下匿名信息的法律規(guī)制[J].大連理工大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2018（4） ： 64-75.

[5] 王利明.人格尊嚴(yán)：民法典人格權(quán)編的首要價(jià)值[J].當(dāng)代法學(xué)，2021（1）：3-14.

[6] 張建文.隱私權(quán)的現(xiàn)代性轉(zhuǎn)向與對(duì)公權(quán)力介入的依賴[J].社會(huì)科學(xué)家，2013（6）：10-14.

[7] 高富平.論個(gè)人信息保護(hù)的目的——以個(gè)人信息保護(hù)法益區(qū)分為核心[J].法商研究， 2019 （1）：93-104.

[8] 蔡翠紅.國(guó)際關(guān)系中的大數(shù)據(jù)變革及其挑戰(zhàn)[J].世界經(jīng)濟(jì)與政治，2014（5）：124-143.

[9] 程嘯.論大數(shù)據(jù)時(shí)代的個(gè)人數(shù)據(jù)權(quán)利[J].中國(guó)社會(huì)科學(xué)， 2018（3）：102-122.

[10] 張新寶.從隱私到個(gè)人信息：利益再衡量的理論與制度安排[J].中國(guó)法學(xué)， 2015（3）：38-59.

[11] 王利明.數(shù)據(jù)共享與個(gè)人信息保護(hù)[J].現(xiàn)代法學(xué)，2019（1）：45-57.

[12] 程嘯.我國(guó)《民法典》個(gè)人信息保護(hù)制度的創(chuàng)新與發(fā)展[J].財(cái)經(jīng)法學(xué)， 2018（4）：32-53.

[13] 黃道麗，張敏.大數(shù)據(jù)背景下我國(guó)個(gè)人數(shù)據(jù)法律保護(hù)模式分析[J].中國(guó)信息安全， 2015 （6）：111-116.

[14] 謝琳.大數(shù)據(jù)時(shí)代個(gè)人信息邊界的界定[J].學(xué)術(shù)研究，2019（3）：69-75.

[15] Paul Ohm. Broken Promises of Privacy： Responding to the Surprising Failure of Anonymization[J]. UCLA Law Review，2010，57（6）：1701-1777.

[16] Article 29 Data Protection Working Party. Opinion 05/2014 on Anonymisation Techniques[EB/OL].（2014-04-10）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf.

[17] Article 29 Data Protection Working Party. Opinion 04/2007 on the Concept of Personal Data [EB/OL].（2007-06-20）[2021-03-07].http：//ec.europa.eu/justice/article-29/documentation/opinion-recommendation/files/2007/wp136_ en. pdf.

[18] European Commission. Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2018-11-14）[2021-03-09].https：//eur-lex.europa.eu/legal-content/EN/TXT/PDF/？uri=CELEX：32018R1807& qid=1617248879534&from=EN.

[19] European Commission. Guidance on the Regulation on a Framework for the Free Flow of Non-personal Data in the European Union [EB/OL].（2019-05-29）[2021-03-09].https：//eur-lex.europ-a.eu/legal-content/EN/TXT/PDF/？uri=CELEX：52019DC0250&from=EN.

[20] Vladislav A & Victor N. The Legal Definition of Personal Data in the Regulatory Environment of the Russian Federation： Between Formal Certainty and Technological Development [J].Computer Law & Security Review，2016，32（6）：868-887.

[21] International Organization for Standardization. Health informatics – Pseudonymization [S]. （2017-01-20）[2021-03-10].https：//www.iso.org/standard/63553.html.

[22] National Institute of Standards and Technology. De-identification of Personal Information [R].（2015-10-20）[2021-0313].https：//nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf.

[23] U.S. Department of Health and Human Services Office for Human Research Protections （OHRP）. Coded Private Information or Specimens Use in Research[EB/OL].（2008-10-16）[2021-03-13]. http：//wayback.archive-it.org/org-745/20160209155555/http：//archive.hhs.gov/ohrp/hum

ansubjects/guidance/cdebiol.htm.

[24] Dalenius. Finding a Needle in a Haystack， or Identifying Anonymous Census Records[J]. Journal of Official Statistics，1986，2（3）：329-336.

[25] US Department of Health and Human Services Office of Civil Rights. Guidance Regarding Methods for De-identification of Protected Health Information in Accordance with the Health Insurance Portability and Accountability Act （HIPAA） Privacy Rule[EB/OL].（2012-11-26）[2021-

03-15]. https：//www.hhs.gov/sites/default/files/ocr/privacy/hipaa/understanding/coveredentities/Deidentification/hhs_deid_guidance.pdf.

[26] El Emam. Methods for the De-identification of Electronic Health Records for Genomic Research[J]. Genome Medicine，2011，3（25）：1-9.

[27] 金耀.個(gè)人數(shù)據(jù)匿名化法律標(biāo)準(zhǔn)明晰——以《網(wǎng)絡(luò)安全法》第42條為中心[J].網(wǎng)絡(luò)法律評(píng)論，2016（2）：72-87.

[28] UK Information Commissioners Office， Data Protection Technical Guidance Determining What is Personal Data [EB/OL].（2012-12-12）[2021-03-15].https：//ico.org.uk/media/for-organi-sations/documents/1554/determining-what-is-personal-data.pdf.

[29] [德]卡爾·拉倫茨.法學(xué)方法論[M].陳愛(ài)娥譯，北京：商務(wù)印書(shū)館，2003：337.

[30] 胡文濤.我國(guó)個(gè)人敏感信息界定之構(gòu)想[J].中國(guó)法學(xué)，2018（5）：235-254.

[31] 江波，張亞男.大數(shù)據(jù)語(yǔ)境下的個(gè)人信息合理使用原則[J].交大法學(xué)，2018（3）：108-121.

[32] 張建文，程海玲.“破碎的隱私承諾”之防范：匿名化處理再識(shí)別風(fēng)險(xiǎn)法律規(guī)則研究[J].西北民族大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2020（3）：76-86.

Research on the Legal Standard of Personal Information Anonymization

Cheng Hailing

（School of Law， Chongqing University， Chongqing 400044， China）

Abstract： As a bridge between personal information protection and personal information circulation， the legal institution of personal information anonymization can meet the information needs of the society in a privacy friendly way. Chinese current legal standard of anonymization， namely "unable to identify specific individuals and cannot be reverted"， lacks operability and is difficult to regulate the practice of anonymization effectively. We can establish the legal standard of anonymization in the coordination of operation method standard and identification risk test standard. As for the operation method standard， we can establish the guidance of anonymization measures applicable to direct identifier and indirect identifier in the technical field. As for the identification risk test standard， we can introduce "a motivated intruder test" by specifying the identification motivation and identification ability of the intruder. Through the synergy of operation method dimension and identification risk test dimension， the "unable to identify specific individuals and cannot be reverted" legal effect of anonymization will finally be achieved.

Key words： personal information; anonymous processing; legal standards; direct identifier; indirect identifier; identification risk test